I. Tổng Quan Về Tấn Công Từ Chối Dịch Vụ DoS Hiện Nay
Tấn công từ chối dịch vụ (DoS) đã trở thành một mối đe dọa nghiêm trọng đối với sự tin cậy của hệ thống mạng Internet. Các cuộc tấn công này sử dụng nhiều cách thức tổ chức và thực hiện khác nhau, từ việc dùng một máy duy nhất đến việc thu thập các máy agent dưới quyền với số lượng lên đến hàng chục ngàn máy phục vụ tấn công. Mục đích của các cuộc tấn công là làm tê liệt các ứng dụng, máy chủ, toàn bộ mạng lưới, hoặc làm gián đoạn kết nối của người dùng hợp pháp. Một kẻ tấn công DoS gửi một số lượng lớn các gói tin đến một nạn nhân sử dụng nhiều zombie. Hậu quả là các nguồn tài nguyên xung quanh nạn nhân như băng thông mạng và sức mạnh tính toán bị giảm và sử dụng không thể truy cập vào các dịch vụ hợp pháp được cung cấp bởi các nạn nhân. Các biện pháp đối phó với tấn công DoS để loại lũ lụt thông thường đã được đề xuất. Phân tích thống kê về tỷ lệ truyền tải mạng rất hữu ích để phát hiện các gói lớn truyền tải lũ lụt.
1.1. Định Nghĩa Chi Tiết Về Tấn Công Từ Chối Dịch Vụ DoS
Tấn công từ chối dịch vụ (DoS) là một nỗ lực để phá vỡ các chức năng năng bình thường của hệ thống mạng và ngăn chặn truy cập hợp pháp cho các dịch vụ hoặc đơn giản là làm giảm chất lượng của dịch vụ được cung cấp. Một nghiên cứu tại USENIX đã chỉ ra rằng ngay từ đầu thập niên này các cuộc tấn công từ chối dịch vụ đã diễn ra với một tỷ lệ lên tới 4000 cuộc tấn công mỗi tuần. Trong năm 2002, một cuộc tấn công từ chối dịch vụ đã làm sập tới 9 trong số 13 máy chủ DNS root của toàn thế giới. Mức độ ảnh hưởng nghiêm trọng của các cuộc tấn công từ chối dịch vụ, mà đặc biệt được nhắc đến nhiều nhất là tấn công từ chối dịch vụ phân tán (DDoS), đã dẫn đến một loạt các nghiên cứu nhằm hiểu rõ hơn về các cơ chế tấn công, để đưa tới các cách thức giúp có thể phòng chống ảnh hưởng tiêu cực của nó.
1.2. Các Loại Tấn Công DoS Phổ Biến Hiện Nay
Có nhiều phương pháp đã được đề xuất nhằm chống lại các cuộc tấn công từ chối dịch vụ, từ việc lọc các gói tin để tránh giả mạo địa chỉ nguồn, chuyển hướng tấn công, đẩy ngược luồng giao thông tấn công trở lại mạng, cách ly để phân biệt máy khách và giao thông máy chủ. Mỗi giải pháp đều rất tốt, và cung cấp kỹ thuật giúp nhận ra các vấn đề của tấn công từ chối dịch vụ. Tuy nhiên, các phương pháp chỉ có thể bảo vệ lại từng khía cạnh của các tấn công từ chối dịch vụ. Trong những năm gần đây, một lớp mới của tấn công từ chối dịch vụ khó phát hiện bằng các phương pháp thông thường, đó là loại tấn công từ chối dịch vụ phân tán tần suất thấp (LDDoS). Kẻ tấn công DoS gửi bùng nổ ngắn của lưu lượng của luồng theo kỳ, thay vì lũ lụt gói liên tục như các cuộc tấn công DoS/DDoS thông thường.
II. Thách Thức An Ninh Mạng Từ Tấn Công DoS Tần Suất Thấp
Các vụ nổ như vậy điền vào bộ đệm của router trung gian và gây ra tổn thất gói của các luồng TCP hợp pháp. Những khó khăn trong việc phát hiện các cuộc tấn công DoS là kẻ tấn công có tốc độ trung bình thấp so với các cuộc tấn công DoS truyền thống. Hơn nữa, kẻ tấn công có thể kiểm soát mức độ thiệt hại gây ra bởi các cuộc tấn công, bằng cách điều chỉnh sự bùng nổ và khoảng cách giữa mỗi lần bùng nổ. Vì vậy, nếu kẻ tấn công mục tiêu một trang web thương mại điện tử và kết nối TCP giữa các trang web và khách hàng của mình, trang web có thể bỏ lỡ những lợi nhuận tiềm năng và khách hàng mới. Cho đến nay, các cuộc tấn công DoS là một trong những mối đe dọa lớn nhất đối với an ninh mạng do là dễ thực hiện với chi phí thấp. Mặt khác, phát hiện tấn công DoS tần suất thấp là khó khăn hơn vì tốc độ trung bình thấp. Các thuật toán phát hiện cho tấn công DoS lũ lụt dường như không áp dụng cho các cuộc tấn công DoS tần suất thấp. Vì vậy, nó rất có thể là cuộc tấn công DoS tần suất thấp sẽ là cuộc tấn công chính trong tương lai.
2.1. Khó Khăn Trong Việc Phát Hiện Tấn Công DoS Tần Suất Thấp
Để phát hiện các cuộc tấn công và giảm thiểu thiệt hại, biện pháp đối phó khác nhau đã được đề xuất. Phương pháp chính ở thời điểm hiện tại cố gắng phát hiện và lọc các cuộc tấn công vào một bộ định tuyến trung gian. Tuy nhiên, tất cả các phương pháp tiếp cận dựa trên bộ định tuyến có vấn đề triển khai. Luận văn của tôi trình bày một phương pháp chống tấn công từ chối dịch vụ phân tán tần suất thấp. Bằng cách phân tích các luồng đến dựa trên các thuật toán cơ bản của router. Hệ thống sẽ nhận diện các luồng tấn công DoS hoặc các luồng hợp pháp.
2.2. Ảnh Hưởng Của Tấn Công DoS Tần Suất Thấp Đến Hiệu Suất Hệ Thống
Với các cuộc tấn công DoS truyền thống, những kẻ tấn công sử dụng một số lượng lớn các máy bị xâm nhập hoặc các đại lý và gửi điện cao tỷ lệ các gói dữ liệu đến nút nạn nhân. Có khả năng mạnh mẽ nhưng có khả năng rất có hại mà bản chất cao tỷ lệ các cuộc tấn công như vậy có thể được phát hiện bởi thiết bị giám sát mạng vì số liệu thống kê bất thường. Vì vậy, những kẻ tấn công có thể được xác định và ảnh hưởng của các cuộc tấn công được giảm thiểu. Khi bị tấn công bởi các cuộc tấn công tràn ngập, giao thông của các mạng được tiêu thụ khá cao và máy chủ vào trạng thái bận.
III. Phương Pháp Phòng Chống Tấn Công DoS Tần Suất Thấp Hiệu Quả
Với các tấn công DoS tần suất thấp, các nút trong mạng bị lừa dối với tín hiệu bận và để điều chỉnh trạng thái hệ thống của nó và sau đó luồng trở nên tương đối rỗng. Các máy chủ sẽ được rỗi trong các cuộc tấn công, kết quả là mạng có thể bị tấn công trong một thời gian dài mà người dùng không nhận biết được. Tuy nhiên, tấn công DoS tần suất thấp khai thác khoảng thời gian chậm hơn của đồng hồ truyền lại TCP để làm giảm thông lượng TCP. Mục đích của nó là để phá vỡ sự cân bằng của dịch vụ mạng hơn là để chiếm dịch vụ. Với tốc độ trung bình của gói thấp, rất khó cho mạng lưới giám sát để phát hiện ra những sự kiện đặc biệt và đó là lý do chính tại sao tấn công DoS tần suất thấp rất dễ dàng để thoát khỏi phát hiện.
3.1. Phân Tích Lưu Lượng Mạng Để Phát Hiện Tấn Công DoS
Gần đây một phương pháp chống tấn công từ chối dịch vụ phân tán tần suất thấp đã được cho thấy khá hiệu quả trong việc lọc các gói tin tấn công và cho qua các gói tin hợp pháp. Thuật toán mới hơn RED đã được đề xuất để phát hiện và lọc ra các cuộc tấn công LDDoS. Thuật toán này sẽ giúp trong việc tìm ra nguồn gốc của các tấn công LDDoS và làm gián đoạn luồng tấn công từ hệ thống. Mục tiêu của thuật toán đề xuất là xác định và loại bỏ các luồng tấn công trước khi vào thuật toán truyền thống RED.
3.2. Ứng Dụng Thuật Toán RED Để Giảm Thiểu Tấn Công DoS
Công việc tương tự đã được thực hiện trong thuật toán RRED. Bằng một tập hợp các thí nghiệm khác nhau, thuật toán RRED được chứng minh là mạnh mẽ chống lại các cuộc tấn công LDDoS và duy trì thông lượng TCP ổn định. Tuy nhiên, thuật toán xác định một khoảng thời gian cố định tính từ thời điểm gói tin bị loại nghi ngờ là gói tin tấn công. Thời gian cố định có thể bị kẻ tấn công xác định và bỏ qua. Do đó, một luồng là một luồng tấn công nếu các gói tin đến từ luồng này được gửi trong một khoảng thời gian sau khi một gói tin khác trong cùng một luồng bị loại bỏ.
IV. Cải Tiến Thuật Toán RRED Để Chống Tấn Công DoS Hiệu Quả
Khi một gói tin đến nghi ngờ là gói tin tấn công phụ thuộc vào khoảng thời gian xác định trong RRED là T*=10ms. Kẻ tấn công có thể dự đoán được giá trị hằng số này khi khi đưa các gói tin tấn công vào và như vậy rất có khả năng kẻ tấn công có thể điều chỉnh thời gian đến của gói tin tấn công sao cho RRED không dễ dàng phát hiện và nguy cơ tiềm ẩn tấn công LDDoS vẫn là cao. Vì nhược điểm này, chúng tôi đề xuất cải tiến thay đổi giá trị biến thiên của trong khoảng thời gian trên để xác định loại bỏ gói tin là gói tin tấn công và cho đi qua hầu hết gói tin bình thường. Bằng cách cải tiến giá trị hằng số T* của thuật toán RRED trên là một giá trị thời gian Tout động.
4.1. Đề Xuất Giải Pháp Cải Tiến Thuật Toán RRED Hiện Tại
Khi phát hiện mất gói tin tại một luồng mà nghi ngờ là gói tin tấn công, người gửi sẽ chờ hết thời gian timeout để tiếp tục gửi lại, trong khoảng thời gian Tout tính từ thời điểm gói tin bị loại bỏ đến khi gói tin được phát tiếp theo nghi ngờ là gói tin tấn công. Qua mô phỏng trong NS2 và phân tích cho thấy RRED sau khi cải tiến là tương đối hiệu quả và có khả năng cải thiện hiệu suất TCP đáng kể trong các cuộc tấn công DoS tần suất thấp so với thuật toán RRED ban đầu.
4.2. Phân Tích Ưu Nhược Điểm Của Thuật Toán RRED Cải Tiến
Thuật toán xác định một khoảng thời gian cố định tính từ thời điểm gói tin bị loại nghi ngờ là gói tin tấn công. Thời gian cố định có thể bị kẻ tấn công xác định và bỏ qua. Do đó, một luồng là một luồng tấn công nếu các gói tin đến từ luồng này được gửi trong một khoảng thời gian sau khi một gói tin khác trong cùng một luồng bị loại bỏ. Khi một gói tin đến nghi ngờ là gói tin tấn công phụ thuộc vào khoảng thời gian xác định trong RRED là T*=10ms.
V. Kết Quả Nghiên Cứu Ứng Dụng Thực Tiễn Của Giải Pháp
Kẻ tấn công có thể dự đoán được giá trị hằng số này khi khi đưa các gói tin tấn công vào và như vậy rất có khả năng kẻ tấn công có thể điều chỉnh thời gian đến của gói tin tấn công sao cho RRED không dễ dàng phát hiện và nguy cơ tiềm ẩn tấn công LDDoS vẫn là cao. Vì nhược điểm này, chúng tôi đề xuất cải tiến thay đổi giá trị biến thiên của trong khoảng thời gian trên để xác định loại bỏ gói tin là gói tin tấn công và cho đi qua hầu hết gói tin bình thường. Bằng cách cải tiến giá trị hằng số T* của thuật toán RRED trên là một giá trị thời gian Tout động. Khi phát hiện mất gói tin tại một luồng mà nghi ngờ là gói tin tấn công, người gửi sẽ chờ hết thời gian timeout để tiếp tục gửi lại, trong khoảng thời gian Tout tính từ thời điểm gói tin bị loại bỏ đến khi gói tin được phát tiếp theo nghi ngờ là gói tin tấn công.
5.1. Mô Phỏng Đánh Giá Hiệu Quả Của Thuật Toán RRED Cải Tiến
Qua mô phỏng trong NS2 và phân tích cho thấy RRED sau khi cải tiến là tương đối hiệu quả và có khả năng cải thiện hiệu suất TCP đáng kể trong các cuộc tấn công DoS tần suất thấp so với thuật toán RRED ban đầu. Các kết quả mô phỏng cho thấy sự cải thiện đáng kể về thông lượng TCP khi sử dụng thuật toán RRED cải tiến so với thuật toán RRED gốc trong môi trường tấn công DoS tần suất thấp.
5.2. Ứng Dụng Thực Tế Triển Vọng Phát Triển Của Giải Pháp
Giải pháp này có thể được triển khai trong các hệ thống mạng thực tế để bảo vệ chống lại các cuộc tấn công DoS tần suất thấp. Việc cải thiện hiệu suất TCP trong môi trường tấn công có thể giúp duy trì tính khả dụng của các dịch vụ mạng quan trọng. Nghiên cứu này mở ra triển vọng phát triển các thuật toán phòng thủ mạng thông minh hơn, có khả năng thích ứng với các chiến thuật tấn công ngày càng tinh vi.
VI. Kết Luận Hướng Nghiên Cứu Tương Lai Về Phòng Chống DoS
Tấn công từ chối dịch vụ (DoS), đặc biệt là các cuộc tấn công tần suất thấp (LDDoS), tiếp tục là một thách thức lớn đối với an ninh mạng. Nghiên cứu này đã trình bày một phương pháp cải tiến thuật toán RRED để phát hiện và giảm thiểu các cuộc tấn công LDDoS. Kết quả mô phỏng cho thấy rằng thuật toán cải tiến có thể cải thiện đáng kể hiệu suất TCP trong môi trường tấn công. Tuy nhiên, vẫn còn nhiều hướng nghiên cứu cần được khám phá để đối phó với các chiến thuật tấn công ngày càng tinh vi.
6.1. Tóm Tắt Các Kết Quả Nghiên Cứu Chính Về Tấn Công DoS
Nghiên cứu này đã tập trung vào việc cải thiện khả năng phát hiện và giảm thiểu các cuộc tấn công DoS tần suất thấp (LDDoS) bằng cách cải tiến thuật toán RRED. Kết quả cho thấy rằng thuật toán cải tiến có thể cải thiện đáng kể hiệu suất TCP trong môi trường tấn công, giúp duy trì tính khả dụng của các dịch vụ mạng quan trọng.
6.2. Các Hướng Nghiên Cứu Tiềm Năng Trong Tương Lai
Các hướng nghiên cứu tiềm năng trong tương lai bao gồm việc phát triển các thuật toán phòng thủ mạng thông minh hơn, có khả năng thích ứng với các chiến thuật tấn công ngày càng tinh vi. Ngoài ra, cần có các nghiên cứu về việc triển khai các giải pháp phòng thủ DoS trong các môi trường mạng phức tạp, chẳng hạn như các mạng đám mây và các mạng IoT.
